Gestion des clés multi-régions - AWS Key Management Service

Gestion des clés multi-régions

Pour la plupart des actions, vous gérez les clés multi-région de la même manière que vous utilisez et gérez les clés à région unique. Vous pouvez activer et désactiver les clés, définir et mettre à jour des alias, des politiques de clé, des autorisations et des balises. Cependant, la gestion des clés multi-région diffère en ces points.

La propriété multi-région que vous définissez lorsque vous créez une clé KMS est inaltérable. Vous ne pouvez pas convertir une clé à région unique en clé multi-région ou convertir une clé multi-région en clé à région unique.

Mise à jour de la région principale

Chaque ensemble de clés multi-région associées doit posséder une clé principale. Mais vous pouvez changer la clé principale. Cette action, connue sous le nom de mise à jour de la région principale, convertit la clé principale actuelle en clé de réplica et convertit l'une des clés de réplica associées en clé principale. Vous pouvez le faire si vous avez besoin de supprimer la clé principale actuelle tout en conservant les clés de réplica, ou si vous devez localiser la clé principale dans la même région que vos administrateurs de clé.

Vous pouvez sélectionner n'importe quelle clé de réplica associée comme nouvelle clé principale. La clé principale et la clé de réplica doivent être toutes les deux dans l'état de clé Enabled lorsque l'opération démarre.

Même après la fin de cette opération, le processus de mise à jour de la région principale peut toujours être en cours pendant quelques secondes supplémentaires. Pendant ce temps, les anciennes et les nouvelles clés principales ont un état de clé transitoire Updating (Mise à jour en cours). Lorsque l'état de la clé est Updating, vous pouvez utiliser les clés dans les opérations cryptographiques, mais vous ne pouvez pas répliquer la nouvelle clé principale ou effectuer certaines opérations de gestion, telles que l'activation ou la désactivation de ces clés. Les opérations telles que DescribeKey peuvent afficher à la fois les anciennes et les nouvelles clés principales sous forme de réplicas. L'état de la clé Enabled est restauré lorsque la mise à jour est terminée.

Supposons que vous avez une clé principale dans la région USA Est (Virginie du Nord) (us-east-1) et une clé de réplica dans la région UE (Irlande) (eu-west-1). Vous pouvez utiliser la fonction de mise à jour pour remplacer la clé principale dans la région USA Est (Virginie du Nord) (us-east-1) par une clé de réplica et transformer la clé de réplica dans la région UE (Irlande) (eu-west-1) par la clé principale.


                Mise à jour de la clé principale

Une fois le processus de mise à jour terminé, la clé multi-région dans la région UE (Irlande) (eu-west-1) est une clé principale multi-région et la clé dans la région USA Est (Virginie du Nord) (us-east-1) est sa clé de réplica. S'il existe d'autres clés de réplica associées, elles deviennent des réplicas de la nouvelle clé principale. La prochaine fois que AWS KMS synchronise les propriétés partagées des clés multi-régions, il obtiendra les propriétés partagées à partir de la nouvelle clé principale et les copiera dans ses clés de réplica, y compris l'ancienne clé principale.

L'opération de mise à jour n'a aucun effet sur l'ARN de clé de n'importe quelle clé multi-régions. Elle n'a pas non plus d'effet sur les propriétés partagées, telles que les éléments de clé, ni sur les propriétés indépendantes, telles que la politique de clé. Toutefois, vous devrez peut-être mettre à jour la stratégie de clé de la nouvelle clé principale. Par exemple, vous devrez peut-être ajouter l'autorisation kms:ReplicateKey pour les mandataires de confiance sur la nouvelle clé principale et la supprimer de la nouvelle clé de réplica.

L'état de clé Updating

Le processus de mise à jour d'une région principale prend un peu plus de temps que le bref délai de cohérence éventuelle qui affecte la plupart des opérations AWS KMS. Il se peut que le processus soit toujours en cours après que l'opération UpdatePrimaryRegion renvoie ses éléments, ou si vous avez terminé la procédure de mise à jour dans la console. Les opérations telles que DescribeKey peuvent afficher à la fois les anciennes et les nouvelles clés principales sous forme de réplicas jusqu'à la fin du processus.

Au cours du processus de mise à jour de la région principale, l'ancienne clé principale et la nouvelle clé principale se trouvent à l'état de clé Updating. Lorsque le processus de mise à jour se termine avec succès, les deux clés retournent à l'état de clé Enabled. Lors de l'état Updating, certaines opérations de gestion, telles que l'activation et la désactivation des clés, ne sont pas disponibles. Toutefois, vous pouvez continuer à utiliser les deux clés dans les opérations cryptographiques sans interruption. Pour plus d'informations sur l'effet de l'état de clé Updating, veuillez consulter Principaux états des clés AWS KMS.

Mise à jour d'une région principale (console)

Vous pouvez mettre à jour la clé principale dans la console AWS KMS. Commencez sur la page des détails de la clé principale actuelle.

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms

  2. Pour changer de Région AWS, utilisez Region selector (Sélecteur de Région) dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client.

  4. Sélectionnez l'ID de clé ou l'alias de la clé principale multi-régions. La page des détails de la clé principale s'ouvre.

    Pour identifier une clé principale multi-régions, utilisez l'icône de l'outil dans le coin supérieur droit pour ajouter la colonne Regionality (Régionalité) dans la table.

  5. Cliquez sur l'onglet Regionality (Régionalité).

  6. Dans la section Primary key (Clé principale), choisissez Change primary Region (Modifier la région principale).

  7. Choisissez la région de la nouvelle clé principale. Vous ne pouvez choisir qu'une seule région dans le menu.

    Le menu Change primary Regions (Modifier les régions principales) n'inclut que les régions associées à une clé multi-régions. Vous n'êtes peut-être pas autorisé à mettre à jour la région principale dans toutes les régions du menu.

  8. Choisissez Change primary Region (Modifier la région principale).

Mise à jour d'une région principale (API AWS KMS)

Pour modifier la clé principale d'un ensemble de clés multi-régions associées, utilisez l'opération UpdatePrimaryRegion.

Utilisez le paramètre KeyId pour identifier la clé principale actuelle. Utilisez le paramètre PrimaryRegion pour indiquer la Région AWS de la nouvelle clé principale. Si la clé principale n'a pas déjà de réplica dans la nouvelle région principale, l'opération échoue.

L'exemple suivant transforme la clé principale de la clé multi-région dans la région us-west-2 en son réplica dans la région eu-west-1. Le paramètre KeyId identifie la clé principale actuelle dans la région us-west-2. Le paramètre PrimaryRegion spécifie la Région AWS de la nouvelle clé principale, eu-west-1.

$ aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1

En cas de succès, cette opération ne renvoie aucune sortie ; seulement le code d'état HTTP. Pour voir l'effet, appelez l'opération DescribeKey sur l'une ou l'autre des clés multi-régions. Vous devrez peut-être attendre que l'état de la clé repasse à Enabled. Pendant que l'état de la clé est Updating (Mise à jour en cours), les valeurs de la clé peuvent toujours être en flux.

Par exemple, l'appel DescribeKey suivant obtient les détails sur la clé multi-région dans la région eu-west-1. La sortie indique que la clé multi-région dans la région eu-west-1 est désormais la clé principale. La clé multi-région associée (même ID de clé) dans la région us-west-2 est désormais une clé de réplica.

$ aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }

Rotation de clés multi-région

Vous pouvez activer et désactiver la rotation automatique des éléments de clé pour les clés multi-régions. La rotation automatique des clés est une propriété partagée des clés multi-régions.

Vous activez et désactivez la rotation automatique des clés uniquement sur la clé principale.

  • Quand AWS KMS synchronise les clés multi-région, il copie le paramètre de propriété de rotation des clés à partir de la clé principale vers toutes ses clés de réplica associées.

  • Quand AWS KMS procède à la rotation des éléments de clé, il crée de nouveaux éléments de clé pour la clé principale, puis copie les nouveaux éléments de clé au-delà des limites de la région vers toutes les clés de réplica associées. Les éléments de clé ne quittent jamais AWS KMS non chiffrés. Cette étape est soigneusement contrôlée pour s'assurer que les éléments de clé sont entièrement synchronisés avant qu'une clé ne soit utilisée dans une opération cryptographique.

  • AWS KMS ne chiffre aucune donnée avec les nouveaux éléments de clé tant que ces éléments ne sont pas disponibles dans la clé principale et chacune de ses clés de réplica.

  • Lorsque vous répliquez une clé principale qui a fait l'objet d'une rotation, la nouvelle clé de réplica possède les éléments de clé actuels et toutes les versions précédentes des éléments de clé pour ses clés multi-région associées.

Ce modèle garantit que les clés multi-région associées sont entièrement interopérables. Toute clé multi-région peut déchiffrer tout texte chiffré par une clé multi-région associée, même si le texte chiffré a été chiffré avant la création de la clé.

La rotation automatique des clés n'est pas prise en charge sur les clés KMS asymétriques ou les clés KMS avec un élément de clé importé. Pour obtenir plus d'informations sur la rotation automatique des clés et des instructions pour l'activer et la désactiver, veuillez consulter Rotation des AWS KMS keys.

Téléchargement de clés publiques

Lorsque vous créez une clé KMS asymétrique multi-régions, AWS KMS crée une paire de clés RSA ou ECC (courbe elliptique) pour la clé principale. Ensuite, il copie cette paire de clés sur chaque réplica de la clé principale. Par conséquent, vous pouvez télécharger la clé publique à partir de la clé principale ou de l'une de ses clés de réplica. Vous obtiendrez toujours les mêmes éléments de clé.

Pour plus d'informations sur le téléchargement et l'utilisation des clés publiques en dehors de AWS KMS, veuillez consulter Considérations particulières pour le téléchargement de clés publiques. Pour obtenir des instructions, consultez Téléchargement de clés publiques.